【A9】安全运营之内部事件管理

admin
admin
admin
103124
文章
87
评论
2023年10月23日11:23:41评论8 views字数 3136阅读10分27秒阅读模式

“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”



01

前言


在整个企业安全运营的体系中,告警管理可以说是处在安全运营的核心地位。他承载着各类规则的结果数据,通过运营人员使用人工或者机器辅助的方式,从结果数据中分析、提炼、甄别出有效的数据信息,并根据数据信息进行分析调查响应、对于违反规则行为进行制止、对于恶意的攻击行为进行抑制、对于异常规则进行优化调整。在实践过程中发现,告警管理侧重点往往在于技术上的闭环管理。如某用户下载安装破解软件产生恶意外联行为,在告警的处置过程中,运营人员会先对用户机器进行断网处置,对终端进行上机分析,最后清除终端程序残留的恶意程序,确认无问题后告警工单便处置完成。但对其下载站点是否需封禁、下载软件有无违反公司软件正版化要求、用户是否存在软件仓库的需求、所下载程序是否为特定组织定向攻击行为等等深层次问题,一线的运营人员往往由于缺乏更高维度视角,亦或是疲于应对海量告警,忽略这些"深入灵魂"的根源性问题,久而久之会发现,告警规则已经优化得十分精准,但是告警量依旧不减,反而因为不断增加新规则而有所上升。一线运营人员因为相同告警反复处理,造成“路长人困蹇驴嘶”的窘境。
再比如,在处理数据安全告警中,发现有用户向外部发送了含有个人信息的敏感文件。运营人员介入后发现,原来是某系统的功能异常,管理员提取日志文件发送给厂商进行分析,日志文件中打印了相关敏感信息。运营人员会要求管理员撤回文件,并对日志文件进行脱敏处理。但是管理员是否知悉公司个人信息管理的规定、除当前系统外是否有其他系统也存在同类情况、应用系统日志存储敏感信息是否有相应规范要求等等,并不在其关注范围内。
基于以上情况,我们在告警管理之后,建立一套事件管理流程,用于将日常安全运营过程中发现的告警、问题,以安全事件形式向组织、向IT团队进行暴露,以促进跨团队协作从根源上解决问题。
在安全事件管理中,我们又将事件划分为内部事件和外部事件。内部事件主要由告警、发现问题驱动,外部事件则由行业内事件、监管通报事件驱动,本文将为大家介绍笔者所在企业在内部安全事件管理过程中的实践经验,抛砖引玉,供大家参考和交流。


02

事件管理流程

我们在建立事件管理流程时主要考虑,一方面事件管理流程对内可以衔接安全运营的告警管理,作为一种告警升级手段,另外一方面对外能与现有的IT体系相融合,遇到涉及运维团队、网络团队及数据库管理员需要跨团队协作时,也能很好适应流程,不会增加额外学习成本。
经过对内部已有流程分析,我们最终确定将安全事件流程与现有IT体系中的ITIL事件管理流程相对接,作为IT的风险隐患进行上报处理。


安全事件管理流程对接ITIL事件管理流程,整体流程可以分为下面三个阶段


【A9】安全运营之内部事件管理


阶段一:事件上报

该阶段左侧对接安全运营内部的告警和问题上报,由一二线告警运营人员对日常处理告警进行反馈,三线告警专家会同攻防对抗专家、数据安全专家、终端安全专家、事件流程管理专家对汇报情况进行汇总分析,最后经由各专家提议决定,运营负责人审批后,作为安全风险事件进行上报。


阶段二:事件调查

事件完成上报后,会录入至ITIL系统,这就是事件调查开始。

在安全运营团队内部,指定安全事件跟进人员,安全事件跟进人员从一、二线告警运营人员手中接手上报事件的第一手消息,并由此展开事件调查。


在事件调查过程中,需要调查并记录下面五项信息,这样事件调查报告才能算完整:

  1. 处理过程,事件调查处理过程的事实记录。应包含具体时间点和时间点下的具体操作行为。

  2. 影响面分析,发生什么事情,该事情产生了哪些影响。

  3. 原因分析,发生事件的原因是什么,需要有直接原因和根本原因分析。

  4. 幸运和做得好的,在事件处理过程中,有哪些幸运的地方,有哪些做得好需要坚持的地方。

  5. 后续改进事项,通过事件分析,得出后续改进和优化事项。


完成事件调查报告后,经由安全相关负责人审阅通过后,就可以进入下一个阶段。


阶段三:事件上会和待办跟进

完成事件调查报告后,会由安全领导在公司每周的IT事件例会中对事件进行介绍说明,由IT的运维、网络、开发等领导对事件进行评议,最后完成评议的事件,按事件改进事项及IT事件例会中讨论措施录入ITIL待办。经由团队长对待办进行分发,由相关同事改进完成后,提交团队长进行验收形成闭环。




03

事件上报标准

在安全运营事件管理实践过程中,我们通过对历史安全事件进行分析归纳,确立上报安全事件应符合以下标准:


  1. 具有典型性,与往常处理告警不同,如往常处理终端病毒告警为用户手动下载,当前遇到病毒由攻击者通过微信聊天工具进行投递,该情况此前未遇到过,具有典型性。

  2. 涉及数量较大,远大于往常处理数量,如往常处理员工通过微信外发敏感数据告警外发数量为上百条,当前遇到外发敏感信息涉及上万条,已经超过数量级,涉及数量较大。

  3. 反复出现。当一个告警反复出现后,通过上报事件对问题进行深入分析,最后尝试通过深度挖掘,在源头解决问题。

  4. 涉及违规、违反既定策略。告警本身是由于违反公司相关管理规范,违反既定策略要求导致,根据情节严重程度进行判定。

  5. 涉及其他团队,通过事件推进。告警涉及其他团队,通过上报事件指出问题方式,能更加利于问题推动解决。


04

事件调查要求


调查过程要求:


  1. 依据事实,说了什么、做了什么、造成的影响和风险,都有记录可支撑,都有记录可佐证(证实、证伪)这些记录就是证据,是确凿的。

  2. 没有记录的(比如打了电话、没有录音)、调查人员推测的(比如没有证据),就不叫证据;但也应该在报告中呈现出来,并告知读者“这是推测”“没有证据”,便于读者区分。

  3. 对听到的、看到的内容,要有疑点分析。

  4. 对疑点,要去获取证据进行证实或证伪或无法证明,但对于这个疑点的结论是什么,要在报告中说明。


报告编写要求:


  1. 让事件报告阅读者充分了解事件前后及事件相关的事实,并作出正确的判断(对是否违规、违规情节严重性的定性、定量判断)。

  2. 让事件报告阅读者尽可能一次性掌握所有事实,减少沟通成本。

  3. 事实应该是中性的、无歧义,在描述中要严格区分“事实”和“观点”

  4. 不断地补充事实、证据,不断地证明和证伪;事实要完整、准确、真实。

  5. 所有事实阐述清楚,疑点证明完毕,对事件调查结论(是否违规、违规情节严重性的定性、定量判断)要给出建议


05

常见事件调查关注点(供参考)

数据安全类:

1.数据情况:

a.是什么数据?

b.涉及哪些敏感信息类型?

c.量级多少?

d.数据来源?

e.数据的拥有是否合理?

2.当事人情况:

a.为什么执行此操作?

b.操作是否工作需要?

c.操作是否经过授权?

d.使用过程是否遵守最小化原则?

e.是否签署保密协议?

f.是否知悉公司数据安全规定?

g.近期是否有离职倾向、岗位调动?

3.造成影响情况:

a.是否造成敏感数据泄露?

b.是否在网上扩散?

c.是否造成恶劣影响?

4.应急措施:

a.是否删除敏感数据?

b.是否提供承诺函?

c.当事人领导告知和确认

d.部门合规人员告知和确认


内部脆弱性类:

1.问题情况:

a.是什么问题?

b.为什么出现问题?

c.造成什么影响,影响范围多大?

d.是否被攻击者利用?

2.日常检测为何没发现?


异常软件类:

1.为何使用,在什么场景下使用?

2.异常软件来源?

3.异常软件分析情况

4.如果是外编同事,项目经理是谁?

5.是否签署保密协议,是否有参与安全意识培训,成绩如何?

6.用户是否知道不应使用异常软件?

7.应急措施:

a.是否有拦截、查杀

b.是否在网络侧封禁

c.排查其他设备存在同样情况

是否了重装系统











原文始发于微信公众号(A9 Team):【A9】安全运营之内部事件管理

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年10月23日11:23:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【A9】安全运营之内部事件管理http://cn-sec.com/archives/2137098.html

发表评论

匿名网友 填写信息